Stjålne fingeraftryk kan betyde enden på biometrisk sikkerhed - her er hvordan du gemmer det

Det hidtil største kendte biometriske databrud blev rapporteret for nylig, da forskere formåede at få adgang til en 23-gigabyte database med mere end 27,8 millioner registreringer inklusive fingeraftryk og ansigtsgenkendelsesdata.

Forskerne, arbejder med cybersikkerhedsfirmaet VPNMentor, sagde, at de havde været i stand til at få adgang til Biostar 2 biometriske låsesystem, der styrer adgangen til sikre faciliteter som varehuse eller kontorbygninger. Denne kontrolmekanisme, drevet af firmaet Suprema, er angiveligt en del af et system, der bruges af 5, 700 organisationer i 83 lande, herunder regeringer, banker og Storbritanniens Metropolitan Police.

Dette brud fremhæver et stort problem med biometriske sikkerhedssystemer, der effektivt bruger folks biologiske målinger som adgangskoder. I modsætning til brugernavne og adgangskoder, biometriske data kan ikke ændres, hvis de bliver stjålet.

I betragtning af at databrud er blevet en uundgåelig del af vores stadig mere digitale verden, betyder det, at biometrisk sikkerhed ikke har en langsigtet fremtid, da det er sandsynligt, at næsten alles data en dag vil flyde rundt i cyberspace? Måske i dets nuværende format, men der er også måder, hvorpå vi kan redde biometri og gøre det mere sikkert.

Traditionelle adgangskoder er noget, du kender. Biometriske træk er noget du er. Fingeraftryk, iris scanninger, stemmemønstre, ansigts- og ørebilleder og ansigtsgenkendelsesdata kan alle bruges som en måde at kontrollere, om nogen er den, de siger, de er og er meget svære at forfalske.

Autentificeringssystemer gemmer sikkert en kopi af de rå biometriske data, og når en bruger ønsker at logge ind på systemet, deres funktioner sammenlignes med de lagrede data. Engang kun et træk ved science fiction, biometriske systemer er nu meget brugt i virkelige sikre faciliteter, pas og endda fingeraftryksgodkendelsen i din smartphone.

Men den unikke karakter af biometri er også dens fejl. Biometriske data kan være en måde at identificere personer med en høj grad af nøjagtighed, men når først de er stjålet, er der intet, du kan gøre for at gøre det sikkert igen. Selvfølgelig, hvis dit fingeraftryk bliver stjålet, kan du altid bruge en anden finger, men du kunne kun gøre dette 10 gange.

Når nogen har dine fingeraftryksdata, det er muligt at printe en kopi med ledende blæk, der kan narre biometriske scannere. Der er også eksempler på, at forskere narre stemmescannere med lyd-morphing-værktøjer, irisscannere med replikabilleder og ansigtsscannere med fotos og endda 3-D-printede hoveder.

Dette betyder, at det er virkelig vigtigt at beskytte dine rå biometriske data mod lækage til uønskede parter. Men dette bliver en stadig sværere opgave, efterhånden som vi afslører vores biometriske data til flere og flere tjenesteudbydere.

Der går knap en uge uden nyheder om, at en anden virksomhed har fået stjålet sine kunders data. Du har sandsynligvis været nødt til at ændre dine egne adgangskoder ved mindst én lejlighed på grund af dette. Hvis nok mennesker får deres biometriske data afsløret, i sidste ende kan nogle systemer blive ubrugelige, fordi så mange brugere ikke vil være i stand til sikkert at logge på dem.

I det nylige brud på biometriske data, mere end 1 million mennesker havde deres fingeraftryk, ansigtsgenkendelsesdata, ansigtsbilleder, brugernavne og adgangskoder afsløret. Det blev også opdaget, at udenforstående kunne erstatte biometriske optegnelser i databasen med deres egne detaljer, afsløre en anden måde at overvinde sikkerhedskontrollen på.

Forbedring af sikkerheden

Så hvad kan der gøres for at gøre biometrisikkerhed stærkere? En enkel måde er adgangskoder. Det er almindelig praksis at gemme adgangskoder ved først at kryptere dem eller "hash" dem. Dette er i bund og grund en envejsversion af kryptering, der omdanner adgangskoder til en streng af tegn kendt som en beskedsammenfatning, som det er næsten umuligt at dekryptere.

Det betyder, at selvom de krypterede adgangskoder lækkes, hackere kan ikke få adgangskoden. Moderne systemer ville aldrig gemme adgangskoder i deres originale almindelige tekstformat.

Denne metode kan også anvendes på biometriske data, således at kun krypterede eller beskedsammenfattende versioner af de biometriske funktioner gemmes. I det nylige brud på den biometriske database, alle data blev gemt i råformat uden kryptering. Dette betyder, at hackere kan få direkte adgang til de rå biometriske funktioner hos brugerne og replikere dem for at komme ind i kritiske tjenester.

En anden måde at gøre biometriske systemer mere sikre på ville være at bruge blockchain, systemet bag kryptovalutaer som Bitcoin. Med blockchain-teknologi, du kan gemme kundedata i en distribueret hovedbog beskyttet af kryptografi på flere computere over hele verden. Dette betyder, at kun autoriserede parter kan få adgang til dataene (eller datablokkene), og ethvert forsøg på at ændre dataene vil blive opdaget af enhver anden bruger, der abonnerer på blockchain. Det er også muligt at oprette private distribuerede hovedbøger, som kun bestemte personer har adgang til.

Selv dette er måske ikke nok til at holde biometriske systemer sikre for evigt. Forskere påviste for nylig, at det er muligt at narre fingeraftryksscannere ved at bruge kunstig intelligens til at generere replikaprint, der kan slå systemet. Så en dag, avancerede computere kan muligvis genskabe alle funktioner for at narre biometriske sikkerhedssystemer til at lade en bedrager komme igennem. Men for nu, hvis udbydere af biometriske tjenester ville tage nogle enkle trin for at gøre deres data mere sikre, vi kunne mere undgå brud, der i sidste ende vil gøre disse systemer forældede.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.